[네트워크 포렌식] Sans Network Forensic [Puzzle 3] #4

#1번 문제에서 제공된 evidence03.pcap 패킷 파일을 사용합니다.

 

Ann이 클릭한 첫 영화의 제목을 묻고 있습니다. 와이어샤크로 패킷 파일을 열어보겠습니다.

 

#3번 문제에서 Ann은 h, ha, hac, hack 순서로 검색을 하였습니다.

 

사건의 흐름 상 검색을 한 후에 클릭을 하였을 것이므로 와이어샤크에서 hack 문자열으로 검색해봅니다.

 

Hackers라는 영화가 나오게 됩니다. 이렇게 Ann이 클릭한 영화의 제목을 알 수 있습니다.

 

또한 HTTP 200 OK 패킷은 GET 요청에 의하여 발생하게 되고, 단어 검색에 대한 관련 데이터를 요청하는 GET 요청으로 200 OK 패킷이 응답되었습니다.

 

그러므로 Ann이 hack을 검색한 이후 GET 요청에 의한 HTTP 200 OK 패킷을 통하여 XML 코드 소스를 확인할 수 있습니다.

 

XML 코드를 보면 Hackers라는 영화를 검색했다는 사실을 알 수 있습니다.